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(57) Abstract: The invention concerns a system enabling a member (M) of a group (G) to produce, by means of customized data 
(z; K), a message (m) accompanied by a signature (8) proving to a verifier that the message originates from a member of the group 
(G). The invention is characterized in that the customized data is in the form of an electronic physical medium (26). Advantageously, 
the latter also incorporates: encrypting means (B3) for producing a customized cipher (C) from the customized data prior to the 
signature S of the message (m), means (B5) for producing a combination of a message m to be signed and the cipher (C) associated 
with said message, for example in the form of a concatenation of the message (m) with the cipher (C), and means (B6) for signing 
(Sig) the message (m ) with the customized data (z; K) in the form of a cipher (C) associated with said message. Advantageously, 
the physical medium is a smart card (26) or the like. 
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(57) Abrege : Le systeme permet a un membre (M) d'un groupe (G) de produire, a 1'aide d'une donn^e personnalisee (z ; K), 
un message (m) accompagne' d'une signature (S) prouvant a un v6rifieur que le message provient d'un membre du groupe (G), et 
se caracterise par le fait que la donnee personnalisee se prSsente sous forme int£gr£e a un support materiel electronique (26). Ce 
dernier integre avantageusement aussi : des moyens (B3) de chiffrement pour realiser un chiffr6 (C) personnalis6 a partir de la 
donnee personnalisee prealablement a la signature S du message (m), des moyens (B5) pour realiser une combinaison d'un message 
m a signer et le chiffre' C associe* a ce message, par exemple sous forme de concatenation du message m avec le chiffre' (C), et des 
moyens (B6) de signature (Sig) du message (m) avec la donnSe personnalisee (z ; K) sous forme de chifrre" (C) associ6 a ce messge. 
Avantageusement, le support materiel est une carte a puce (26) ou analogue. 
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SYSTEMS CRYPTOGRAPHIQUE DE SIGNATURE DE GROUPE 

L' invention concerne le domaine technique de la 
securite des services, et plus precisement de la signature 
electronique de message, au moyen de la cryptographie . 

On rappelle que la signature Electronique est un 
5 mecanisme relevant de la cryptographie dite a cle publique: 
le signataire possede une cle secrete et une cle publique 
associee. II produit la signature d f un message a l'aide de 
sa cle secrete. Le verifieur a uniquement besoin de la cle 
publique pour verifier la signature, 

10 Plus precisement encore, 1 1 invention concerne les 

signatures (Electroniques) de groupe. Une signature de 
groupe permet aux membres d'un groupe de produire une 
signature telle que le verifieur reconnaitra cette 
signature coitime ayant et£ produite par un membre du groupe, 

15 tout en ignorant de quel membre il s'agit. Cependant, une 
autorite de confiance a la possibility de lever h tout 
moment cet anonymat et done de reveler l'identite du 
signataire. De telles signatures sont bien souvent "non- 
correlables" : il est impossible de determiner si deux 

20 signatures ont ete emises par la meme personne ou non. 

Dans tout schema classique de signature de groupe, 
est attribute au groupe une unique cle publique de groupe, 
tandis qu'est attribu£ a chaque membre de ce groupe un 
identifiant et une cle privee qui leur sont propres . A 

25 l'aide de sa cle privee, un membre du groupe peut produire 
une signature de groupe d»un message de son choix, laquelle 
signature peut etre verifiee par une entite quelconque a 
l'aide de la cl6 publique de groupe. La verification 
apprend seulement a cette entite que la signature a ete 

30 produite par un membre du groupe, mais ne lui donne aucune 
information sur 1 1 identifiant du membre qui a signe. En 
revanche, 1' autorite de confiance dispose d'une information 
suppl^mentaire qui lui permet de retrouver 1 1 identifiant de 
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ce membre, et done de lever cet anonymat a tout moment (on 
dit que 1' autorite de confiance "ouvre" la signature). 

Les signatures de groupe ont beaucoup d 1 applications 
parmi lesguelles les deux suivantes . 
5 une premiere application, d^crite par reference a la 

figure 1, est donnee par les encheres electroniques . Elles 
mettent en place trois protagonistes : un serveur 
d' encheres 2, une autorite de confiance 4 et un client CI. 
L 1 ensemble des clients forme un groupe G dit "groupe des 

10 clients". Un utilisateur desirant s 1 inscrire au groupe des 
clients G doit s'adresser a l 1 autorite de confiance 4, qui 
lui fournit sa c!6 priv£e SK. II obtient ainsi le droit de 
. produire une signature de groupe. Muni de ce droit, il 
pourra signer chacune de ses encheres de manidre anonyme. 

15 Lors d'une enchere pour un certain produit, chaque membre 
du groupe des clients peut encherir en signant un message 
contenant notamment le produit mis en vente et le montant 
de son enchere. Le serveur d* encheres 2 peut verifier 
1 1 appartenance au groupe et done la validite de 1' enchere 

20 simplement en verifiant la signature de groupe. Le 
vainqueur est celui qui donne la derniere enchere avant 
1 1 adjudication. Le dernier message regu par le serveur 
d 1 encheres est done celui du vainqueur. Le serveur adresse 
alors ce message et la signature de groupe correspondante a 

25 1' autorite de confiance 4, qui est la seule capable d'en 
lever 1' anonymat et done de determiner 1 ' identity physique 
de I'acheteur du produit mis aux encheres. 

Les encheres se doivent d'§tre rapides . En effet, 
elles se d^roulent pendant un temps tr£s court ou parfois 

30 le premier qui encherit a un prix donn6 a des chances de 
gagner la partie parce qu'il aura atteint un niveau trop 
haut pour les autres . C'est pourquoi le mecanisme de 
signature de son off re ne doit pas prendre trop de temps. 

Une seconde application, d6crite par reference a la 

35 figure 2, est le paiement electronique anonyme. Elle met en 
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place quatre protagonistes : un client CI, un commergant 6, 
une banque 8 et une autorite de confiance 4. Chaque client 
CI doit se faire enregistrer dans le systeme et obtenir une 
cle privee SK d'un schema de signature de groupe avant de 
5 pouvoir effectuer sa premiere transaction. Pour effectuer 
un paiement, le client doit retirer des pieces 
electroniques PE aupres de sa banque 8. On rappelle qu'une 
pi&ce electronique represente une donn^e (un numero de 
serie) signee num^riquement par la banque* Les pieces PE 

10 qu'il retire sont anonymes grace a 1 1 utilisation d'un 
mecanisme dit de signature aveugle. 

La d^pense d'une piece PE chez un commergant 6 se 
fait de la maniere suivante : le client (Cli dans 
l'exemple) genere une signature de groupe portant sur la 

15 piece electronique PE et transmet 1' ensemble (signature et 
PE) au commergant. Si la piece est valide (verification de 
la signature de la banque) et la signature de groupe est 
authentique, le commergant accepte la transaction. En fin 
de journee (ou au moment le plus opportun) , le commergant 

20 transmet a la banque les signatures et les pieces regues en 
paiement pour compensation de leur valeur. En cas de fraude 
(^utilisation d'une m§me pi£ce dans plusieurs transactions 
par exemple) , la banque 8 envoie la signature de groupe 
portant sur la piece litigieuse a 1' autorite de confiance 4 

25 afin qu'elle identifie le client indelicat et sanctionne le 
contrevenant . 

II existe de nombreux articles proposant des schemas 
de signature de groupe. Actuellement , deux d'entre eux sont 
les plus souvent cites : i) J. Camenisch, M. Stadler 
30 "Efficient group signature scheme for large groups" In 
B.Kaliski, Advances in Cryptology; Eurocrypt f 97 , vol.12 94 
de LNCS, pages 410-424. Springer Verlag, 1997, et ii) G. 
Ateniese, J. Camenisch, M. Joye, G. Tsudik "A practical and 
provably secure coalition- resistant group signature scheme" 
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In M. Bellare Advances in Cryptology - CRYPTO 2000, vol. 
1880 de LNCS, pages 225-270, Springer Verlag. 

lis sont tous les deux bases sur la m§me idee 
g6nerale qui est la suivante. 
5 Tout d'abord, ils considerent un schema de signature 

ordinaire, par exemple selon l'algorithme RSA (Rivest, 
Shamir, Adleman) , un schema de chif f rement probabiliste (si 
on chif f re deux fois le m§me message, les chif f res 
correspondants sont differents) et semantiquement sur (il 
10 est impossible d'apprendre une quelconque information sur 
le texte clair a partir du chif fr6) . 

Ensuite, une autorite de confiance 4 responsable du 
groupe G g6n£re les cles de chif f rement et de signature, 
puis met les cles publiques correspondantes dans un endroit 
15 generalement accessible, par exemple un annuaire. Elle 
garde secrete les cl£s privees SK associees. 

Pour devenir membre du groupe, une personne 
determine un identifiant (valeur numerique que 1' autorite 
de confiance peut relier a la personne physique ou morale 
20 membre du groupe) et interagit avec 1* autorite de confiance 
4 pour obtenir un certificat de membre qui est en fait la 
signature de 1 1 identifiant a l'aide de la al6 privee SK de 
signature de 1' autorite de confiance. 

Pour signer un message m au nom du groupe, le membre 
25 en question realise deux actions : 

- action i) : chiffrer son identifiant a l'aide de 
la cle publique de chif f rement de 1' autorite de confiance 
(cette partie servira a ouvrir eventuellement la signature) 
et 

30 - action ii) : faire la preuve qu'il connait un 

certificat de membre associe au texte clair inclus dans le 
chif f re (preuve qu'il fait bien partie du groupe) . 

On se base ici sur la cryptographie, et plus 
particuli^rement sur les preuves de connaissance pour 



WO 03/056750 




CT/FR02/04502 



obtenir les proprietes voulues sur les signatures de 
groupe . 

La verification de la signature consiste a verifier 
la preuve de connaissance, par exemple du type a 
5 connaissance nulle. L'ouverture de la signature est le 
simple dechif frement de 1 ■ identif iant . 

L 1 inconvenient majeur d'un tel principe est le poids 
des calculs. En effet, chaque signature necessite de 
realiser un chif frement (action i) et surtout un certain 

10 nombre de preuves de connaissance (action ii) qui sont en 
pratique tr&s co&teuses en temps de calcul, puisque mettant 
en oeuvre de nombreuses exponentiations modulaires (par 
exemple, il faut environ une seconde par exponentiation 
modulaire avec une carte a puce munie d'un 

15 cryptoprocesseur) . 

Au vu de ce, qui precede, la presente invention a 
pour but de mettre en place un schema de signature de 
groupe qui soit tr&s rapide, c'est~a-dire ne demandant que 
tres peu d* exponentiations modulaires (dans les exemples 

20 typiquement une ou deux exponentiations au maximum) , tout 
en gardant les proprietes des schemas de signature de 
groupe actuels (taille de signature constante, schema stir, 
cle publique inchangee a l'arrivee d'un nouveau membre, 
etc. ) . 

25 Sur le plan industries elle permet ainsi une mise 

en oeuvre rapide m§me en utilisant des supports de calcul & 
capacite r^duite, telles que des cartes a puce et 
dispositifs communicants portatifs analogues. 

Plus particulierement, 1 ' invention pr^voit, selon un 

30 premier objet, un systeme de signature de groupe permettant 
k un merobre d'un groupe de produire, a l'aide d'une donn6e 
personnalis6e, un message accompagne d'une signature 
prouvant a un verifieur que le message provient d'un meinbre 
du groupe, 
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caract6ris6 en ce que la donnee personnalisee se 
presente sous forme integree ct un support materiel 
eiectronique . 

Dans un mode de realisation prefer^, le support 
5 materiel eiectronique integre egalement des moyens de 
chiffrement pour realiser un chiffre personnalise a partir 
de ladite donnee personnalisee pr^alablement a la signature 
du message, des moyens pour realiser une combinaison d'un 
message a signer et le chiffre associe a ce message, par 
10 exemple sous forme de concatenation du message avec le 
chiffre, et des moyens de signature du message avec la 
donnee personnalisee sous forme de chiffre associe a ce 
message. 

La donnee personnalisee peut §tre un identifiant 
15 personnel au membre, le support materiel Electronigue 
integrant en outre une cle de chiffrement commune aux 
membres du groupe, et les moyens de chiffrement rEalisant 
un chiffre de 1 1 identifiant avec cette cle de chiffrement* 
De preference, les moyens de chiffrement realisent 
20 un chiffre de 1 1 identifiant et d'un alea. 

En variante, la donnee personnalisee peut §tre une 
cie de chiffrement diversifiee, propre & chaque membre du 
groupe, les moyens de chiffrement r6alisant un chiffre d'au 
moins une donnee, par exemple un alea, avec la cle de 
25 chiffrement. 

Les moyens de chiffrement peuvent mettre en ceuvre un 
algorithme de chiffrement a cle secrete, par exemple 
l 1 algorithme connu par la designation AES (advanced 
encryption standard), ou un algorithme de chiffrement & cle 
30 publique, par exemple 1' algorithme connu par la designation 
RSA (Rivest, Shamir, Adleman) . 

Avantageusement , les moyens de signature mettent en 
ceuvre un algorithme de signature a cle privee, par exemple 
1' algorithme connu par la designation RSA, celui-ci pouvant 
35 inclure la norme dite PKCS#1 telle que definie notamment 
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dans le document "RSA Cryptography Standard - RSA 
Laboratories. Draft2 - 5 janvier 2001". 

Avantageusement , le support materiel electronique 
est un dispositif communicant portatif , notamment une carte 
5 a puce. 

Selon un deuxieme aspect, 1 1 invention concerne 
egalement un proced£ d' emission d'un message avec une 
signature de groupe de ce message, caracterise en ce qu'il 
met en oeuvre le systeme selon le premier aspect, la 
10 signature du message etant produite avec une cle SK privee 
commune aux membres du groupe et integrant la donnee 
personnalisee produite a partir du support materiel 
electronique , 

le procede pr^voyant de transmettre le message ainsi 
15 signe a un verifieur sans recours a une fourniture de 
preuve a ce dernier de 1 1 appartenance de membre audit 
groupe, tel qu'un certificat de membre ou la preuve de 
possession d'un tel certificat. 

Selon un troisieme aspect, 1 1 invention concerne un 
20 procede de verification d'un message regu avec une 
signature de groupe de ce message, le message ayant ete 
emis conformement au procede selon le deuxieme aspect, 
caracterise en ce que la verification est r^alisee au moyen 
d'une cle publique qui correspond a ladite cle privee. 
25 Selon un quatrieme aspect, 1 • invention concerne un 

proc6d6 d'ouverture d'une signature produite par le systeme 
selon le premier aspect, caracterise en ce qu'il comprend 
les etapes consistant k : 

- mettre a disposition prealablement a la signature 
30 des donnees de correspondance entre les identit^s des 

membres du groupe et leur donnee personnalisee ; 

- d^chiffrer la donnee personnalisee regue a partir 
d'un support materiel Electronique dont la signature est a 
ouvrir ; et 
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- mettre en correspondance la donnee personnalisee 
dechiffree avec l'identite du membre du groupe. 

Selon un cinquieme aspect, 1 1 invention concerne un 
proced6 de preparation d'un support materiel electronique 
5 du systeme selon le premier aspect, personnalise a un 
membre admis & un groupe, caract£rise en ce qu'il comprend 
les Stapes consistant a : 

- produire la donnee personnalisee destinee audit 
support materiel electronique a personnaliser ; et 

10 - inscrire cette donnee personnalisee avec une cle 

privee de signature dans le support. 

L ' invention et les avantages qui en decoulent 

apparaitront plus clairement a la lecture de la description 

qui suit des modes de realisation pr^feres, donnas purement 
15 a titre d'exemples non-limitatif s, par reference aux 

dessins annexes dans lesquels : 

- la figure 1, deja decrite, est un schema de 
principe illustrant un exemple de codage de groupe dans le 
cadre d'une vente aux encheres ; 

20 - la figure 2, deja decrite, est un schema de 

principe illustrant un exemple de codage de groupe dans le 
cadre d' achats par des pieces electroniques ; 

- la figure 3 est un schema servant k illustrer des 
transactions au moyen d'une carte a puce pour la signature 

25 de messages conformement k 1 ' invention ; 

la figure 4 est un schema bloc des elements 
fonctionnels d'une carte k puce pouvant §tre utilis^e pour 
realiser les signatures de groupe conformement a 
1 1 invention ; 

30 - la figure 5 est un organigramme general des 

elements fonctionnels qui interviennent au sein d'une carte 
a puce pour realiser les signatures de groupe conformement 
a 1 ' invention ; 
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la figure 6 est un organigramme d'un premier 
exemple de mise en oeuvre d' Elements specif iques vis-&-vis 
de 1 1 organigramme de la figure 5 ; 

- la figure 7 est un organigramme selon une variante 
5 du premier exemple, et 

- la figure 8 est un organigramme d'un deuxieme 
exemple de mise en oeuvre d' elements specif iques vis-a-vis 
de 1 1 organigramme de la figure 5 . 

Conf ornament & 1* invention, plutSt que d' envisager 

10 les deux actions i) et ii) precitees de I'etat de la 
technique, on pr^voit une approche selon laquelle 
1 1 identif iant n'est plus associee directement h une 
personne physique ou morale, mais int6gr£ a un dispositif 
electronique communicant attribue a un membre autorise d'un 

15 groupe. Dans le mode de realisation, le dispositif, qui 
est typiquement portatif tel qu'une carte a puce ou un 
boitier incorporant celle-ci (par exemple un teirminal de 
telephone mobile) , comprend avantageusement sur un m§me 
ensemble physique : une donnee personnalisee (identifiant 

20 ou cle de chiffrement diversifiee) memorisee sous forme 
electronique, les moyens pour chiffrer cette donnee, et les 
moyens pour realiser la signature de groupe sur 1' ensemble 
comprenant le message a transmettre et le chiffre de la 
donnee personnalisee. 

25 Un exemple de mise en oeuvre de 1 ' invention est 

represent^ a la figure 3 pour le cas d'un membre M d'un 
groupe G qui realise, a l'aide d'une carte a puce 
personnalisee 26, des transactions avec des prestataires de 
service, en 1 1 occurrence un serveur d'encheres 2 et un 

30 commergant 6. La communication entre un membre M et un 
prestataire peut se faire par tout moyen connu, par exemple 
depuis son ordinateur personnel (PC) 10 via un reseau de 
communication, tel qu 1 Internet, ou par un telephone mobile 
27 equips d'un lecteur 27a de carte a puce externe, 

35 1 ' ^change de donnees avec les prestataires de service 2, 6 
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s'effectuant alors par voie hertzienne 29 via 1'antenne 27b 
du telephone mobile. 

Ii 1 ordinateur personnel 10 comprend notamment une 
unit6 centrale 14, une carte modem 16 ou autre interface de 
5 communication avec le r^seau 12, un ecran de visualisation 
18, et un clavier 20 avec dispositif de pointage 22. II 
comprend egalement un lecteur de carte a puce 24 par 
laquelle la carte a puce 26 peut communiquer avec son unit6 
centrale 14 et sur le reseau 12. La partie puce 26a de la 

10 carte est de preference du type securise. 

Les services offerts par le serveur d'encheres 2 et 
le commergant 6 sont identiques a ceux decrits dans le 
cadre respectivement des figures 1 et 2 , et ne seront pas 
decrits a nouveau par souci de concision. De mdme, leur 

15 mode de f onctionnement avec la banque 8 (pour le commergant 
6) et l'autorite de confiance 4 est sensiblement le m§me. 

Conformement a 1' invention, l'autorite de confiance 
4 delivre un identifiant z a un membre M accepte par elle 
du groupe G directement sous forme materielle, en 

20 1' occurrence sous forme de la carte a puce personnalisee 26 
avec une puce securis^e 26a. 

L 1 inscription de la donnee personnalisee dans une 
carte (sous forme d' identifiant z ou de cle K diversifi^e 
designee Kz) s 1 ef f ectue par un protocole d'echange de 

25 donnees via une borne g£ree par l'autorite de confiance. 
La donnee personnalisee est etablie et stock^e au sein de 
la carte durant cet echange. 

L'autorite de confiance 4 peut egalement etablir la 
donnee personnalisee avec une carte a puce existante des 

30 lors qpae cette carte soit a m§me de permettre le chargement 
de donnees apres qu'elle soit £mise. Ceci est notamment le 
cas avec des cartes polyvalentes destinees a integrer de 
nouvelles applications a tout moment par chargement a 
partir d'une borne, permettant de reunir plusieurs services 

35 ou fonctions distincts sur un seul support. 



WO 03/056750 




CT/FR02/04502 



L'autorit6 de confiance associe done un membre 
(per sonne physique ou morale, design^ de maniere g^nerique 
par le terme "personne" ) du groupe G & sa donnee 
personnalisee par le biais de la carte personnalisee 26 
5 emise pour cette personne, Celle-ci n'aura done pas de 
lui-m§me a enregistrer sa donnee personnalisee et a fournir 
la preuve cryptographique qu'il la possede. 

Une carte personnalis6 26 est £mise k une personne 
candidate par l'autorite de confiance 4 lorsque cette 

10 personne remplie les conditions pour devenir membre du 
groupe G, avec les verifications et precautions d' usage, k 
l'instar de 1' emission d'une carte bancaire classique. 
L'autorite de confiance enregistre notamment la 
correspondance entre la donnee personnalisee contenue dans 

15 vine carte 26 emise et 1 ' identite (par exemple le nom) de la 
personne a qui cette carte a et6 rendue. 

En resultat, la s£curite repose ici d'une part, sur 
un dispositif contenant une puce s6curis6e 26a et, d' autre 
part, sur une cle. Celle-ci peut §tre soit partagee par 

20 tous les membres M du groupe G pour generer une signature 
de groupe lorsque la donnee personnalisee est un 
identifiant a chiffrer par cette cle, soit diversifiee, 
c'est-&-dire sp6cifique au membre lorsqu'elle constitue 
elle-m&ne la donnee personnalisee. Les aspects detailles 

25 de cette approche sont presentes dans ce qui suit. 

Tout d'abord, les modes de realisation de 
1 ' invention font appel a un schema de signature ordinaire S 
et un algorithme de chiffrement probabiliste et 
semantiquement sflr (algorithme k cle publique ou a cle 

30 secrete). Ensuite, l'autorite de confiance 4 responsable du 
groupe g<§n&re la ou les cle(s) de signature SK ou analogue, 
puis met dans un annuaire la cle publique correspondante . 
Elle garde secrete la cle privee de signature, puis elle 
publie toutes les informations necessaires & la mise en 

35 oeuvre de 1' algorithme de chiffrement. 
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Pour devenir un membre, une personne obtient aupres 
de l'autorite de confiance 4 une carte a puce 26 contenant 
d'une part, soit un identifiant z,soit une cle K 
diversifiee (l'autorite de confiance gardant en memoire le 
5 lien entre la carte a puce, 1 1 identifiant z, et le cle K 
diversifiee ainsi que le nouveau membre M) , et d' autre 
part, la cl<§ privee de signature SK. Celle-ci est done en 
fait une cle partag^e entre tous les membres du groupe G. 
La carte poss^de de plus toutes les informations 

10 necessaires au chif f rement a l'aide de 1 ' algorithme fourni 
par l'autorite de confiance. Muni de cet ensemble 
d' Elements integres dans la carte a puce 26, le membre M 
peut, a l'aide de cette derni^re, signer un message m au 
nom du groupe G, cette signature S pouvant Stre ouverte par 

15 l'autorite de confiance (et par elle seule) si cela est 
necessaire . 

Pour signer un message m au nom du groupe, le membre 
utilise sa carte a puce qui va prendre en entree le message 
m. La carte va dans un premier temps realiser un 

20 chif f rement specif ique au membre a l'aide de 1' algorithme 
de chif f rement de l'autorite de confiance, puis signer le 
message constitu6 de au moins le message m de depart et le 
chif f re obtenu pr^cedemment , cette signature £tant produite 
a l'aide de la cl£ privee partagee de signature qu'elle 

25 possede en memoire. En sortie, la carte a puce 26 envoie au 
destinataire 2, 6 (verifieur) le message, le chif f re et la 
signature * 

La verification de la signature consiste simplement 
a verifier la signature gener6e par la cl6 privee partagee, 
30 a l'aide de la cl6 publique correspondante . L'ouverture de 
la signature par l'autorite de confiance 4 consiste a 
dechiffrer la donn£e personnalisee et a trouver la 
correspondance avec I'identite du possesseur de la carte a 
puce 2 6 . 
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Le resultat est tres rapide au niveau de la carte, 
puisque au moment de la signature S il n f y a qu'un 
chiffrement et une signature a effectuer (et done au 
maximum deux exponentiations modulaires) . 
5 Contrairement a l'etat de l'art relatif aux 

signatures de groupe ou le lien entre 1 1 identif iant et le 
message est realise par des mecanismes cryptographiques 
(preuves de connaissance) , 1' invention utilise une approche 
materielle avec une s6curite reposant sur celle d'un objet, 
10 avantageusement securise, en 1 1 occurrence la carte a puce 
26. 

Le principe de f onctionnement des modes de 
realisation au niveau de la carte a puce est decrit de 
maniere plus detaillee par reference aux organigrammes des 
15 figures 5 & 7. Au prealable, 1 ■ architecture general d'une 
carte k puce pouvant §tre utilisee dans le cadre de 
1» invention est decrite par reference a la figure 4. 

La figure 4 represente sous forme de schema bloc 
simplifie les elements fonctionnels selon une architecture 
20 possible de la carte a puce 26. Ces elements comprennent : 
- un microprocesseur 28 assurant la gestion de 
fonctions internes et 1 ' execution de programmes applicatifs 
de la carte. II peut comprendre notamment un 

"cryptoprocesseur" optimise pour les calculs 

25 crytographiques ; 

une memoire vive accessible en ecriture 30 
(designee RAM de l'acronyme anglo-saxon "random access 
memory"). Cette memoire sert entre autres a 

1 1 enregistrement de donnees 6phemeres, par exemple les 
30 resultats interm6diaires de calculs algorithmiques ; 

une memoire r6manente 32 de technologie 
programmable et a effacement 61ectronique (designee EE PROM 
de l'acronyme anglo-saxon "electrically erasable 
programmable read-only memory (ROM) ) . Cette memoire sert 
35 notamment pour le stockage de donnees a long terme apr&s la 
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fabrication de la carte, par exemple la donn^e 
personnalisee de la carte, le code logiciel lie aux 
algorithmes utilises, etc. ; 

une memoire figee 34 du type ROM "masque", 
5 programmee avec des donnees immuables lors de son proced£ 
de fabrication a I'aide de masques. Cette memoire 
enregistre notamment le code de gestion interne de la 
carte, mais peut 6galement stocker des donnees du cryptage 
communes aux membres du groupe. Le partage du stockage des 

10 donnees entre les memoires EEPROM 32 et ROM masque 34 est 
au choix du concepteur ; 

- une interface de communication 3 6 par laquelle la 
carte echange des donnees avec 1 ' environnement exterieur, 
tel que le lecteur de carte 24 ou 27a ; et 

15 - un bus interne 38 qui relie les elements 

precit^s . 

Le principe general du f onctionnement de la carte 26 
pour la signature de messages est represents a la figure 5 . 
Cette figure comporte un cadre a 1 1 interieur duquel tous 

20 les elements - donnees ou actions - se situent au sein meme 
de la carte k puce, d'ou sa designation 26. Dans le cas 
illustrS, la donnSe personnalisee est sous la forme d'un 
identifiant z. 

Pour chaque message m a transmettre devant porter la 

25 signature S du groupe, la carte 26 soumet son propre 
identifiant z (case Bl) & un algorithme de chiffrement 
(designation gSnerique E) (case B2) . La case Bl est 
representee en pointilles, s'agissant d'un element qui peut 
etre supprime en cas d' utilisation d'une cle diversifiee 

30 Kz. Concretement , cette action consiste a faire exScuter 
par le microprocesseur 28 le code de 1" algorithme E lu k 
partir de 1' EEPROM 32 et, le cas echeant, de la memoire ROM 
masque 34, avec insertion, en tant que parametre, de 
1' identifiant z lu en interne a partir d'une memoire de la 

35 carte, par exemple la memoire EEPROM 32. L ' algorithme E 
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fait £galement intervenir au moins un autre param&tre, tel 
qu'un nombre aleatoire et une cle de chif f rement, coitime 
decrit plus loin par reference aux exemples . Le resultat 
de 1' algorithme E sur 1 1 identif iant z est le chif f re de 
5 l'identifiant, d£signe C = E(z) (case B3 ) . Le chiffr6 C et 
ensuite stocke provisoirement en interne dans la memoire 
RAM 32. 

En parallele, la carte receptionne le message m a 
signer sur son interface de communication 36 et 
10 l'enregistre provisoirement dans la memoire RAM 32 (case 
B4) . 

Ensuite, la carte realise la concatenation m' du 
message m et du chiffre C (case B5) , soit nT = m||C. Cette 
operation consiste a produire un sequence binaire 

15 comportant la suite des bits du message m suivie/pr^cedee 
des bits du chiffre C. 

La concatenation m' est ensuite fournie en tant que 
paramfetre a un autre algorithme, dit de signature 
(designation gen^rique Sig) (case B6) , qui produit la 

20 signature de m' a I'aide d'une cle privee de signature SK. 
Concretement, cette operation consiste a faire executer par 
le microprocesseur 28 le code de 1 1 algorithme Sig lu a 
partir de l'EEPROM 32 et, le cas echeant, de la ROM masque 
34 , avec insertion, en tant que parametre, d'une part la 

25 cle de signature SK, lue en interne a partir d'une memoire 
de la carte, par exemple la memoire EEPROM 32, et d' autre 
part la concatenation m' lue a partir de la memoire RAM 30. 

La signature authentif i«§e S du message m ainsi 
produite par cet algorithme Sig est alors transmise en 

30 sortie a 1 ■ interface de communication 36 de la carte 26 
pour exploitation dans le cadre du systeme de transaction 
de groupe G. Plus particulidrement , le signature produite 
avec la cl<§ privee de signature SK sur 1 ' operande m 1 , soit 
SigsKfm 1 ), forme un ensemble transmis depuis l'ordinateur 
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personnel 10 ou le telephone mobile 27 vers un prestataire 
de services 2 ou 6 . 

Ces derniers, agissant en tant que "verif ieur" , 
peuvent <§tablir si le message m extrait de la signature 
5 SigsKdn') provient ef f ectivement d'une carte authentique 26 
au moyen d'un algorithme de verification (designation 
generique VerpKdn' , S) ) et d'une cle publique PK mise a la 
disposition g^nerale par I'autorite de confiance 4. Cet 
algorithme est de nature dichotomique, produisant une 
10 reponse oui/non. 

Au niveau de I'autorite de confiance 4, la signature 
est ouverte au moyen d'un algorithme de dechif f rement D 
permettant de retrouver la correspondance entre 
1 ' identif iant z et l'identite du possesseur de la carte a 
15 puce 26, soit z = D(C) . 

Le tableau I resume les entites utilises par les 
differents protagonistes dans ce cadre general : 

Tableau I : liste des entites utilisees par un 
mexnbre M (carte 26), un verif ieur V et l'autorite de 
20 confiance pour le mode de realisation general. 

Elements utilises Elements utilises 

par Membre M (carte 26) par Verif ieur V 

(prestataire de services 
2, 6) 

25 message m cl£ publique PK 

identifiant z VerpKfm^S) = oui/non 

cle privee SK 
C = E(z) 
itT = m||C 
30 S = SigsKtm 1 ) 

Elements utilises par 
l'autorite de confiance 4 
z = D(C) 

II sera maintenant d^crit deux exemples particuliers 
35 bas£s sur le mode de realisation general de la figure 5, 
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par reference respectivement aux figures 6 a 8. Chacune de 
ces figures est un organigramme base sur celui de la figure 
5. Les elements (cases) des figures 6 a 8 qui 

correspondent a ceux de la figure 5, mais sous forme 
5 specif ique, portent les m§mes references suivi d'un signe 
1,1 " (prime) pour le cas de la figure 6 et d'un signe 
(double prime) pour le cas de la figure 7 ; les elements 
identiques entre les figures 5 et les figures 6 & 8 portent 
les m£mes references . Les aspects communs aux figures 6 a 8 

10 deja decrites par reference h la figure 5 ne seront pas 
repetes par souci de concision. 

Exemple 1 : mode de realisation base sur 1 ■ algorithme 
de chiffrement AES et de signature RSA 

Dans cet exemple (figure 6), le schema de signature 

15 choisi est 1* algorithme RSA. Le module sera note n, la cle 
privee est SK et correspond a la cle partagee ; la cle 
publique est PK. L 1 algorithme de chiffrement choisi dans 
l 1 exemple est AES (de I 1 anglais "advanced encryption 
standard") qui est done un algorithme a cle secrete. On 

20 note K la cle associee. Dans ce cas illustr6, il s'agit 
d'un cle partagee parmi tous les membres M du groupe G. 
L'autorite de confiance publie PK et garde toutes les 
autres cles secretes. 

Conformement & ce premier exemple, l f algorithme AES de 

25 chiffrement B2 • accept e en tant que parametre d' entree : i) 
I'identifiant z (case Bl) , ii) une cle secrete de 
chiffrement K (case B8) partagee parmi tous les membres M 
admis au groupe G et stockee dans la memoire EEPROM 32 et 
iii) un al6a r (case B9) . Ce dernier est un nombre 

30 al^atoire d'une longueur binaire pr^determinee, gen6r6e au 
sein de la carte 26 au moyen d'un code logiciel execute par 
le microprocesseur 28. L'alea r est renouvel<§ a chaque 
signature de message m. 



WO 03/056750 



18 



CT7FR02/04502 



L 1 algorithme AES produit alors le chiffr6 C de 
1' identif iant et de l'alea r avec AES et la cle secrete K 
(case B3 1 ) . 

Ce chiffre C est ensuite sounds a une concatenation 
5 m' = m||C (case B5) , puis fourni en tant que parametre 
d 1 entree a un algorithme de signature de type RSA (Rivest, 
Shamir, Adleman) (case B6 1 ) . Cet algorithme prend en 
entree une cle privee de signature SK (case B7) , avec 
lequel il produit la signature RSA de m" , soit S = m ,,SK mod 
10 n, ou m" = le resultat de PKCS#1 sur m' ; ou "mod n" 
signifie 1 1 arithm^tigue modulo n et PKCS#1 est une norme 
definie notamment dans le document "RSA Cryptography 
Standard - RSA Laboratories. Draft2 - 5 janvier 2001". 



15 differents protagonistes du groupe G selon le premier 
example : 

Tableau XI : liste des elements utilises par un 
xnexnbre M(carte 26), un verifieur V et l f autorite de 
confiance selon l'exemple 1. 
20 Elements utilises Elements utilises 



Le tableau II resume les entites utilisees par les 



par Merabre M (carte 26) 



message m 
identif iant z 
cle privee SK 



par Ver i f ieur V 

(prestataire de services 
2, 6) 

cle publique PK 



25 



m" 



= S 



,PK 



mod n ? 



alea r 



30 



C = AES(z / K # r) 

m' = m||C 

m" = PKCSiKm 1 ) 



S = m l,SK mod n 
Elements utilises par 
l'autorite de confiance 4 

z = AES(C # K) 



35 



z O M 
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Une s6curit6 supplementaire consiste a scinder 
l'autorite de confiance en deux. La premiere possede 
uniquement la cle priv^e SK (et n'a pas connaissance des 
identifiants des membres) : c'est l'autorite de groupe 
5 (c f est elle qui intervient lors de la phase d' inscription 
au groupe) . La seconde poss&de seulement la cle K ainsi 
que tous les identifiants des membres du groupe : c'est 
l'autorite d'ouverture (c'est elle qui intervient lors de 
la phase d'ouverture des signatures). Ainsi, une autorite, 
10 seule, ne peut pas se faire passer pour l'un des membres. 
Cette approche ressort du principe qu'il est preferable de 
ne pas confier toute la security du systeme a une seule 
autorite. 

A l'arrivee d'un nouveau membre dans le groupe, 

15 l'autorite de confiance cree pour lui une nouvelle carte k 
puce et place dans sa memoire n, SK et K ainsi qu'une 
valeur z (1 1 identif iant du membre). Elle note dans sa base 
de donnee que la valeur z est associee a ce nouveau membre. 

Lorsque ce membre desire signer un message, il 

20 insure sa carte dans un lecteur et lui demande de signer le 
message m. Dans un premier temps, la carte a puce utilise 
l'algorithme AES avec comme entries la cle K, la valeur z 
et un al£a r (le chiffrement est ainsi probabiliste) pour 
obtenir en sortie le chiffre C. Ensuite, elle fabrique le 

25 message m 1 en concat^nant le message m et le chiffre C 
qu'elle vient d' obtenir, puis modifie le resultat en un 
message m M selon par exemple la norme PKCS#1. Enfin, elle 
calcule S = m ,,SK modn. Le couple {S, C) est la signature de 
groupe du message m. 

30 Le verifieur n'a besoin que de n et de PK pour 

verifier que la signature vient bien d'un membre du groupe. 
II n'a qu'a verifier que m M = S PK modn, conformement a la 
norme d<§finie plus haut. De plus, ne pouvant dechiffrer C 
(il ne possede pas la cle K) , il n'a aucun moyen de savoir 

35 a quel membre il a affaire. 
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Si 1 1 autorit£ de conf iance desire ouvrir la 
signature, elle n'aura qu'a utiliser l'algorithme AES et la 
cle K (il n'a pas besoin de l'alea r pour d^chiffrer) pour 
obtenir z et regarder dans sa base de donnees qui 
5 correspond a z. 

Une variante elevant le niveau de securite consiste 
a choisir la cle Kz de chiffrement diversifiee selon 
1 ' identif iant, et de ne chiffrer que l'al£a r, c 1 est-&-dire 
d'attribuer une cl6 Kz diff6rente pour chaque membre M du 
10 groupe G. 

Dans cette variante, illustree a la figure 7, on 
s'affranchit de 1 1 identif iant z en tant que tel, celui-ci 
n*6tant plus necessaire pour individual iser la carte 2 6 : 
1 1 individualisation est obtenue k la place directement par 

15 la cl6 de chiffrement diversifiee Kz {case B8) du fait 
qu'elle est individuelle . 

Sur le plan materiel, cette variante est mise en 
ceuvre de maniere analogue au premier exemple, mais en 
introduisant comme parametre dans l'algorithme de 

20 chiffrement (celui-ci pouvant toujours §tre l'algorithme 
AES) seulement 1 1 al£a r, charge comme d6crit prec^demment 
(case B9), la case Bl etant naturellement supprim^e. Le 
chiffr£ C qui en resulte est traits de la mSme maniere 
(case B3 1 et suivantes) . On note que l'alea r integre dans 

25 le chif fre assure la meme fonction de decorreler le message 
m de sa signature. 

Ainsi, si une carte a puce est corrompue, le 
fraudeur n'aura acces qu'a la cle diversifiee Kz de cette 
carte, et ne pourra done pas produire une signature de 

30 groupe au nom d'un autre identif iant que celui contenu dans 
cette carte. La phase d'ouverture consiste alors tester 
toutes les cles de chiffrement existantes jusqu'a tomber 
sur la bonne. 
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Exemple 2 : mode de realisation base sur 1 1 algorithme 
de chif frement RSA et de signature RSA 

Cet exemple (figure 8) est voisin de celui du 
premier exemple (figure 6 ou 7), et seulement des 
5 differences vis-&-vis de celui-ci seront decrites. 

Le schema de signature choisi est une nouvelle fois 
l'algorithme RSA. Le module sera note n, la c!6 secrete 
est SK et correspond a la cle partagee ; la cle publique 
est PK. L 1 algorithme de chif frement est cette fois-ci 
10 asymetrique puisqu'il s'agit du cryptosysteme RSA comme 
decrit dans la norme precitee. Le module sera note n' . La 
cle publique de chif frement est e et la c!6 priv^e associee 
est d. 

A l'arrivee d f un nouveau membre M dans le groupe G, 

15 I'autorite de confiance produit une nouvelle carte k puce 
26 ou charge des donnees dans une carte existante et place 
en memoire n, n', e et SK, ainsi qu'une valeur z 
(1 ■ identif iant du membre). Elle note dans sa base de 
donnees que la valeur z est associee ce nouveau membre. 

20 Lorsque ce membre desire signer un message, il 

insere sa carte 26 dans un lecteur 24 ou 27a et lui demande 
de signer le message m. Dans un premier temps, la carte va 
chiffrer son identif iant z a l'aide du cryptosysteme RSA 
(case B2"). Pour cela, elle modifie la valeur z selon par 

25 exemple la norme precitee pour obtenir la valeur z 1 (cette 
modification prend en parametre entree z et un alea r(case 
B9)). Elle g£n£re ensuite C = z ,e modn', qui est le chif f re 
de 1 1 identif iant, sur la base de la cle publique e (case 
Bll) . Ensuite, elle fabrique le message m 1 en concatenant 

30 le message m et C qu'elle vient d 1 obtenir (case B5), puis 
modifie le resultat en un message m" selon par exemple la 
norme PKCS#1 precitee. Enfin, elle calcule S = m ,,SK modn 
(case B6' 1 ) sur la base de la cle privee de signature SK. 
Le couple (S,C) est la signature de groupe du message m. 
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Le tableau III resume les entites utilisees par les 
differents protagonistes du groupe G selon le premier 
exemple : 

Tableau XIX : llste des elements utilises par un 
membre M(carte 26) , un verifieur V et l'autorite de 
confiance selon l 1 exemple 2. 



Elements utilises 

par Membre M (carte 26) 



message m 
identifiant z 
cle privee SK 
al6a r 

z,r => z' (cf . PKCS#1) 



Elements utilises 
par Verifieur V 

(prestataire de services 
2, 6) 

cle publique PK 
m" = S PK mod n ? 



C = z 



mod n' 



35 



m' = m||C 

m' => m" (cf . PKCS#1) 

S = m nSK mod n 
Elements utilises par 
l'autorite de confiance 4 

z = C d mod n' 

z' => z (cf. PKCS#1) 

z M 

Le verifieur 2,6 n*a besoin que de la valeur n et de 
PK pour verifier que la signature vient bien d'un membre du 
groupe. II n'a qu'a verifier que m" = S PK mod n (cf. la 
norme PKCS#1 precitee) . De plus, ne pouvant dechiffrer C 
(il ne poss&de pas la cle K) , il n'a aucun moyen de savoir 
a quel membre il a affaire. 

Si l'autorite de confiance 4 desire ouvrir la 
signature, elle calcule C d mod p pour retomber sur z 1 , puis 
sur z (la transformation entre z et z 1 ne necessite pas la 
connaissance de l'al£a r et est entierement decrite par la 
norme precitee. 
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Bien entendu, le deuxieme exemple permet aussi de 
scinder 1 ' autorite en deux, comme decrit dans le cadre du 
premier exemple. De meme, il est egalement envisageable 
dans ce deuxieme exemple d'utiliser comme donn^e 
5 personnalisee un cle diversif i<§e, et de s'affranchir de 
1 1 identif iant z, a l'instar de la variante de 1' exemple 1 
(cf . figure 7) . 

On comprendra de ce qui precede que 1 ' invention 
presente un avantage remarquable en termes de cotits de 
10 calcul, puisqu'il suffit d' avoir au niveau de la carte 26 
juste un algorithme de chiffrement et un algorithme de 
signature, qui ensemble ne necessitent que deux 
exponentiations modulaires. 

L 1 invention permet de nombreuses variantes aussi 
15 bien au niveau des moyens materiels, cryptographiques , 
logiciels, communication entre les intervenants, qu'au 
niveau de applications. 

En effet, la signature de messages peut §tre 
effectuee par tout dispositif adapte ne relevant pas 
20 forcement de la technologie des cartes a puce, tels que 
objets portatifs specif iques, assistants personnels 
communicant, ressources d'un telephone mobile, etc. 

On peut par ailleurs aussi envisager d'autres 
systemes algorithmiques que ceux (AES et RSA) des exemples . 
25 La communication entre un membre M et un prestataire 

peut aussi s'effectuer par des liaisons locales, cdblees, 
hertzien, infrarouge ou autre. 

Enfin, les applications donnees (commerce avec 
pieces electroniques, ventes au encheres) ne sont que des 
30 exemples parmi de nombreuses autres applications possibles. 
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REVENDICATIONS 



1. Systeme de signature de groupe permettant a un 
membre (M) d'un groupe (G) de produire, a I'aide d'une 
donn^e personnalisee (z; Kz), un message (m) accompagne 
d'une signature (S) prouvant a un v^rifieur (2, 4) que 
ledit message provient d'un membre du groupe (G) , 

caracterise en ce que ladite donn^e personnalisee se 
presente sous forme integree a un support materiel 
electronique (26) . 

2. Systeme selon la revendication 1, caracterise en 
ce ledit support materiel electronique (26) integre des 
moyens (B3) de chiffrement pour realiser un chiffre (C) 
personnalise & partir de ladite donnee personnalisee (z; 
Kz) prealablement a la signature S du message (m) . 

3. Systeme selon la revendication 2, caracterise en 
ce que ledit support materiel electronique (26) integre en 
outre des moyens (B5) pour realiser une combinaison d'un 
message (m) a signer et le chiffre C associe k ce message, 
sous forme de concatenation du message m avec le chiffre 
(C) . 

4. Systeme selon l'une quelconque des revendications 
14 3, caracterise en ce que ledit support materiel (26) 
integre en outre des moyens (B6) de signature (Sig) du 
message (m) avec la donnee personnalisee (z; K) sous forme 
de chiffre (C) associe 4 ce message. 

5. Systeme selon l'une quelconque des revendications 
2 a 4, caracterise en ce que ladite donnee personnalisee 
est un identifiant (z) personnel au membre (M) et en ce que 
ledit support materiel electronique (26) integre en outre 
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une cle de chif frement (K) commune aux membres du groupe 
(G) , les moyens (B3) de chif frement r^alisant un chif f re 
(C) de l'identifiant avec ladite cle de chif frement. 

6. Systeme selon la revendication 5, caracterise en 
ce que les moyens (B3) de chif frement realisent un chif f re 
(C) de l'identifiant et d'un al£a (r) . 

7. Systeme selon I'une quelconque des revendi cat ions 
2 h 4, caracterise en ce que ladite donnee personnalisee 
est une cle de chiffrement (Kz) diversifi^e, propre a 
chaque membre (M) du groupe (G) et en ce que les moyens 
(B3) de chiffrement realisent un chiffre (C) d'au mo ins une 
donnee (r) avec ladite cle de chiffrement* 

8. Systeme selon la revendication 7, caracterise en 
ce que ladite donnee comprend un alea (r) . 

9. Systeme selon I'une quelconque des revendications 
2 a 8, caracterise en ce que les moyens de chiffrement (B3) 
mettent en oeuvre un algorithme de chiffrement a cle secrete 

(K) , par exemple 1' algorithme connu par la designation AES 

(advanced encryption standard) . 

10. Systeme selon l'une quelconque des revendications 
2 & 8, caracterise en ce que les moyens de chiffrement (B3) 
mettent en oeuvre un algorithme de chiffrement a cle 
publique (e) , par exemple 1' algorithme connu par la 
designation RSA (Rivest, Shamir, Adleman) . 

11. Systeme selon l'une quelconque des revendications 
4 k 10, caracterise en ce que les moyens (B6) de signature 
(Sig) mettent en oeuvre un algorithme de signature a cl£ 
privee (SK) , par exemple 1' algorithme connu par la 
designation RSA (Rivest, Shamir, Adleman) . 
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12. Systeme selon la revendication 11, caracterise en 
ce que 1 1 algorithme de signature est du type RSA et inclut 
la norme dite PKCS#1 telle que d^finie notamment dans le 
document "RSA Cryptography Standard - RSA Laboratories. 
Draft2 - 5 janvier 2001". 

13. Systeme selon l'une quelconque des revendications 
1 a 12, caracterise en ce que ledit support materiel 
electronique est un dispositif communicant portatif (26) . 

14. Systeme selon la revendication 13, caracteris£ en 
ce que ledit support materiel Electronique est une carte a 
puce (26) . 

15. Procede d' emission d'un message (m) avec une 
signature (S) de groupe (G) de ce message, caracterise en 
ce qu'il met en ceuvre le systeme selon l'une quelconque des 
revendications 1 k 14, la signature du message (m) 6tant 
produite avec une cle (SK) privee commune aux membres (M) 
du groupe (G) et integrant la donnee personnalisee (z; Kz) 
produite a partir du support materiel electronique (26), 
le procede prevoyant de transmettre le message ainsi signe 
k un verifieur (2, 6) sans recours a une foumiture de 
preuve a ce dernier de 1 1 appartenance de membre (M) audit 
groupe (G) , tel qu'un certificat de membre ou la preuve de 
possession d'un tel certificat. 

16 . Proced6 de verification d 1 un message (m) regu 
avec une signature de groupe de ce message, le message 
ayant ete emis conformement k la revendication 15, 
caracterise en ce que ladite verification est realis^e au 
moyen d'une cle publique qui correspondant ladite cle 
privee (SK) . 
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17. ProcEde d'ouverture d'une signature (S) produite 
par le syst^me selon l'une quelconque des revendications 1 
& 14, caracteris£ en ce qu'il comprend les etapes 
consistant a : 

mettre a disposition, prealablement a la 
signature, des donnees de correspondance entre les 
identites des membres (M) du groupe (G) et les donnees 
personnalisees ; 

- d^chiffrer la donnEe personnalisee regue a partir 
d'un support materiel £lectronique (26) dont la signature 
est a ouvrir ; et 

- mettre en correspondance la donnee personnalisee 
dechiffree avec l'identite du membre (M) du groupe (G) . 

18. Proced6 de preparation d f un support materiel 
electronique (26) du systeme selon l'une quelconque des 
revendications 1 a 14, personnalisE a un membre (M) admis a 
un groupe, caracterise en ce qu'il comprend les etapes 
consistant a : 

- produire la donnee personnalisee (z; Kz) destinee 
audit support materiel Electronique (26) a personnaliser ; 
et 

- inscrire cette donnee personnalisee avec une cle 
privee de signature (SK) dans ledit support. 
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